こんにちは、SCSK株式会社の中野です。
Zabbixの脆弱性に関して、深刻な脆弱性が発表されましたので、本記事にて共有いたします。
Zabbixをご利用の方は一度ご覧いただき、対象の場合はアップデート等のご検討お願い致します。
Zabbix脆弱性情報
2024年8月9日(現地時間)にZabbix社は、監視ソリューション「Zabbix」に深刻な脆弱性があると以下URLにて公表しております。
————————
CVE/Advisory number: CVE-2024-22116
Synopsis: Remote code execution within ping script
Zabbix Security Advisories and CVE database
————————
この脆弱性が悪用された場合は、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がございます。
例えスクリプト実行を制限された権限を持つ管理者であっても、監視しているホストでスクリプト実行機能を悪用できる可能性があり、
scriptのパラメータはデフォルトでエスケープされていないため、攻撃者はping scriptを介して任意のコードを実行し、インフラ全体を侵害することが可能となります。
影響を受けるとされるZabbixのバージョンは以下となります。
・Zabbix 6.4.0 ~ 6.4.15
・Zabbix 7.0.0alpha1 ~ 7.0.0rc2
脆弱性を修正するためには、修正されたZabbixのバージョンへアップデートする必要がございますので
以下バージョンへのアップデートのご検討をお願い致します。
・Zabbix 6.4.16rc1
・Zabbix 7.0.0rc3
最後に
弊社では本件に関してのお問い合わせもお受けしております。
ご相談事項がございましたら、以下ページよりお問い合わせいただければと思います。
お問い合わせ 製品・サービスについて 入力 | SCSK株式会社
また、以下Zabbixのイベントが直近で開催されます。
本件に限らずご質問をお受けする時間もございますので、ご興味がございましたら是非ご参加ください。
2024.8.23 (金)
Zabbix全国5都市キャラバン2024 名古屋
2024.10.02(水)
Zabbix7.0セミナー ~新機能とバージョンアップの要点~
以上、最後までご覧いただきありがとうございました。